安全运营的发展历程可以分为四个阶段:碎 片化阶段、全局化阶段、可视化阶段、智能化阶段。
在网络安全发展的前期,企业在网络安全方面缺乏明确的目标和战略规划,导致在安全投资和资源配置上 无法做到有针对性和系统。因此,为了应对多样化且日益复杂的安全威胁,企业在安全防护体系建设过程中采用 多种不同的安全工具和产品来保护数据安全,但不同的安全工具和产品之间普遍存在一定的差异性,由于缺乏 统一的标准和互操作性,导致这些不同的工具和产品在实际部署时往往难以实现完全集成和协同,这种现象在 一定程度上导致了安全运营进入碎片化阶段。
由于企业内部缺乏统一的信息共享平台,各类安全工具和产品产生的日志数据和报警信息可能无法在组织 内部进行有效共享,企业内部安全团队之间缺乏有效的沟通和协作,这导致企业难以全面了解当下的安全态势, 在应对安全事件时反应迟缓,无法及时快速的给出响应,实现全面、高效的安全防护。不仅如此,企业在选择安全 产品时,由于缺乏足够的了解和评估,导致选择功能重复或不适合企业需求的安全产品,进一步加剧了安全运营 碎片化。
为了解决各类安全设备和系统之间的“安全孤岛”,进而对海量日志信息的集中管理和分析,实现全面了解 安全威胁。安全运营体系开始从“碎片化”逐步转向“全局化”,而安全信息与事件管理(SIEM)系统则是解决海量 日志分散问题的关键,可以实现各类安全设备和系统之间的协同防御。
最初,在 SIEM 刚出现时主要是用于大型且成熟企业,帮助组织对设备和系统产生的海量日志数据进行管 理和审计,缺乏对安全威胁的分析和预警能力。但随着对安全需求的不断提高,SIEM 升级开始关注安全事件的 实时监控和预警,通过对收集的日志数据进行实时分析,识别异常行为和潜在安全威胁,并生成相应的报警。在 此阶段,SIEM 为组织提供了有限的安全威胁信息“全局化”的能力。
随着 SIEM 技术的不断演进,实现了日志管理和安全事件管理的整合,形成了完整的安全信息与事件管理 系统。SIEM 不仅能对日志数据进行实时监控和预警,还可以进行历史数据的深入分析,以发现异常行为、潜在威 胁和安全事件。同时,还引入了事件关联分析技术,能够发现跨越多个设备和系统的安全威胁,这使得组织进一 步实现安全威胁信息“全局化”。
随着网络安全威胁的快速演变,SIEM 系统开始引入威胁情报平台和 SOAR 技术。通过集成外部威胁情报,SIEM 系统能够更好地识别新型攻击手段和高级持续性威胁(APT)。不仅如此,通过引入 SOAR 技术,SIEM 系 统实现了与各类安全设备和系统之间的自动化协同,提高了安全运营响应速度。这一阶段的技术进一步加强了 安全威胁全局化的能力。
总体来说,SIEM 可以集成来自不同的安全设备和工具的安全事件信息,例如防火墙、入侵检测系统、漏洞扫 描器等,实现不同设备和系统之间的信息共享和协作,从而打破安全设备和系统中之间的“安全孤岛”,实现“全 局化”的收集和分析安全事件信息。
随着各种设备、应用和系统的普及,产生的数据量也不断增加,数据来源和种类也越来越多样化和复杂化, 这就需要更高效、更准确、更智能的数据处理和分析技术,以提高安全防御能力。不仅如此,随着技术的不断发展 和应用场景的不断变化,新的安全威胁和攻击方式不断涌现,需要及时应对和防范。
因此,在实现“全局化”的对安全数据进行收集、分析、处理和展示后,为了将抽象的数据具象化,更直观的了 解当下安全态势,安全运营发展到了“可视化”阶段。这个阶段的安全运营主要以态势感知为中心,态势感知是一 种基于数据的安全防御手段,可以实现将所有数据以易于理解和直观的形式展示,方便决策层快速了解安全态 势识别安全威胁并及时做出决策。
态势感知作为安全运营的关键核心组成部分,通过收集、分析和处理各种来自网络设备和应用的日志、安全 事件、威胁情报、用户行为、资产信息的数据,以便安全运营团队更快速、更直观地了解网络环境中的安全态势和 风险。通过可视化的图形化界面,安全运营团队可以一目了然地了解网络中存在的安全威胁、攻击来源和攻击方 式,以及各种安全设备和系统的运行状态和数据,为组织提供更全面、更有效的安全保障。
总体来说,“可视化”阶段的安全运营依靠态势感知可以为组织提供及时发现和解决安全事件、增强安全防 御能力、提高资源利用效率、改进安全策略等多个好处,能够帮助组织提高网络安全水平,确保网络环境的稳定 和安全。
在安全运营从“全局化”阶段发展到“可视化”阶段后,组织开始逐步意识到安全威胁日益复杂,传统的安全 防御手段难以应对,以及组织的安全运营人员数量和能力有限,无法满足快速增长的安全需求。因此,安全运营 开始转向“智能化”阶段。
智能化安全运营阶段是指在态势感知的基础上,通过人工智能、大数据、机器学习等先进技术的应用,实现 安全运营的智能化和自动化,提高安全防御和应急响应能力,进一步提升网络安全水平。不仅如此,现阶段不同 组织的安全运营需求不同,大多数组织都需要定制化、个性化的安全运营方案,而智能化技术能够提供更灵活、 更适应不同组织安全需求的解决方案。
人工智能、大数据、云计算等新技术的不断发展和创新为智能化安全运营的应用提供了重要的支持和推动 力,随着技术的不断进步和创新,智能化安全运营的发展也在不断演变。最初的智能化安全运营是由于人工智 能、机器学习等技术的高速发展,开始利用开始利用规则和模型来预测和自动化响应安全事件,提高组织的安全 防御能力;随着机器学习技术的不断深入,智能化安全运营能够自动识别和分类安全事件,提高安全运营的准 确率和效率。
为了更好的挖掘安全数据,深度学习技术开始大量投入使用,可以提高数据分析和识别的精度和速度,从而 进一步提高安全运营的水平;最后,随着技术的不断发展和应用场景的扩展,智能化安全运营开始从单一的数 据分析和响应逐步向多维度智能化的安全运营阶段拓展,加入风险评估、漏洞管理、安全策略等多方面的内容, 为组织提供更全面、更精细的安全保障。
总体来说,智能化阶段的安全运营是现阶段网络安全领域的重点发展趋势,它可以提高安全防御能力,降低 安全风险,提高安全事件的应急响应速度和准确率,为组织提供更全面、更高效的安全保障。
